爲什麼此SqlCommand參數會產生SQLDateTime溢出錯誤？

Question

我有這些代碼塊：

var cmd = new SqlCommand(); 
cmd.CommandText = @"SELECT * FROM " + TableName + " Where "; 
SqlConnection a = new SqlConnection("the setting"); 
cmd.Connection = a; 

這些生產線下方，做工精細：

cmd.CommandText += strFromTextBox + " LIKE '%" + strUserInput + "%'"; 
//strFromTextBox & strUserInput is string datatype 
//it looks like 'apple', 'ladder', just normal string 
SqlDataAdapter adapter = new SqlDataAdapter(); 
adapter.SelectCommand = cmd; 

但這些的產生錯誤：

DateTime dtFrom = DateTime.Parse(dt1).Date; 
DateTime dtTo = DateTime.Parse(dt2).Date; 
//dt1 & dt2 is originally a string 
//they look something like this: 2/1/2012 12:00:00 AM 
cmd.Parameters.AddWithValue("@dt1", @dtFrom); 
cmd.Parameters.AddWithValue("@dt2", @dtTo); 
cmd.CommandText+= parameter[i].ToString() + " BETWEEN @dt1 AND @dt2"; 
//parameter[i] refers to the column name 

它產生的誤差：

System.Data.SqlTypes.SqlTypeException: SqlDateTime overflow.

兩個塊是通過處理：

DataTable Table = new DataTable(); 
adapter.FillSchema(Table, SchemaType.Source); 
adapter.Fill(Table); 

最後的查詢輸出（字符中發現）

SELECT * FROM linkDb Where CreateDt BETWEEN @dt1 AND @dt2 

能有人建議什麼是錯用這些代碼行？

Answer 1

SQL Server DATETIME數據類型只能表示從00:00:00 1/1/1753到23/12/9999 23:59:59的日期。我的猜測是，其中一個日期字符串或者被給予超出此範圍的日期，或者它的分析方式與您想象的不同。

此外，構建這樣的SQL字符串非常容易發生SQL注入。你應該考慮儘快放棄這種做法。像現在。

Answer 2

取而代之的是：

cmd.Parameters.AddWithValue("@dt1", @dtFrom); 
cmd.Parameters.AddWithValue("@dt2", @dtTo); 

試試這個：

SqlParameterCollection p = cmd.Parameters; 
p.Add("@dt1", SqlDbType.DateTime).Value = dtFrom; 
p.Add("@dt2", SqlDbType.DateTime).Value = dtTo; 

我還要設置參數之前設置的CommandText值。

如果失敗了，則應使用調試器來驗證dtFrom和dtTo中包含的值。

順便說一句，我知道這不是你的問題的一部分，但你的發佈代碼容易受到SQL注入。您還應該用using聲明包裝您的SqlConnection和SqlCommand對象。